Виды лицензий криптопро csp

## КриптоПро CSP
КриптоПро CSP имеет сертификат соответствия ФСБ России и может использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.
### Модуль криптодрайвера
В составе КриптоПро CSP входит модуль уровня ядра операционной системы (криптодрайвер), который позволяет использовать основные криптографические функции на уровне ядра операционной системы. Криптодрайвер предназначен для использования в специальных приложениях, таких как шифраторы IP-протокола и файловой системы.
### Поддержка XML
Поддержка ЭЦП XML-документов XMLdsig для Windows (MSXML5, MSXML6) и использование российских криптоалгоритмов в Microsoft Office InfoPath 2003.
### Реализация CMS/PKCS#7
Реализация криптографических сообщений CMS/PKCS#7 для Unix, с программным интерфейсом аналогичным Microsoft CryptoAPI 2.0, позволяющим использовать высокоуровневые функции для создания криптографических сообщений.
### Реализация протокола TLS
Реализация протокола TLS (SSL) для всех платформ через модуль сетевой аутентификации КриптоПро TLS в общем дистрибутиве КриптоПро CSP.
### Поддержка технологий Java, Oracle, Apache
Разработаны продукты партнеров Крипто-Про для использования КриптоПро CSP в приложениях Oracle E-Business Suite, Oracle Application Server, Java, Apache.
### Поддержка протокола Kerberos-PKINIT
Поддержка аутентификации пользователей в домене Windows с использованием КриптоПро CSP и сертификатов открытых ключей.
### Дальнейшая поддержка продуктов Windows
Возможность использования КриптоПро CSP не только в электронной почте, но также в MS Word и Excel.
#### Нужен расчет стоимости, демонстрация или консультация?
Оставьте заявку, и мы свяжемся с вами.
## Использование криптографии ГОСТ на Linux сервере
Для использования криптографии ГОСТ на Linux сервере существуют два варианта реализации.
### Настройка OpenSource реализации (КриптоКом)
Простейшая реализация ГОСТ - открытый исходный код. Установка сокращается до двух шагов:
1. Склонировать репозиторий https://github.com/gost-engine/engine
2. Установить пакеты cmake и libssl-dev (Debian) или openssl-devel (RHEL), зайти в склонированную директорию и выполнить команды: ```bash mkdir build cd build cmake .. make -j4
  1. Взять libgost_engine.so из папки bin и скопировать в папку engines.
  2. Отредактировать конфигурацию – добавить блок перед первой секцией INI-файла openssl.cnf.
```markdown
После этого всё ПО, использующее OpenSSL (в частности, nginx) сможет использовать ГОСТ в протоколе TLS.
Самоподписанный ГОСТ-сертификат можно сгенерировать так:
openssl req -days 3650 -x509 -newkey gost2001 -pkeyopt paramset:A -nodes -keyout gost_test.key -out gost_test.crt
## Установка КриптоПро на RHEL 7.2
Инструкция по установке КриптоПро CSP на сервер RHEL 7.2 в nginx.
### Установка сертификата и ключа
Вначале устанавливаем закрытый ключ — для этого нужно взять директорию с ключами (см. #Формат ключа) и скопировать в /var/opt/cprocsp/keys/root/ под именем XXXXXXXX.000 (любое имя вида 8 латинских букв, точка, 3 цифры). Контейнер ключа/ключей в терминологии КриптоПро — это и есть ключ.
Далее — установка сертификата.
Если сертификат НЕ в формате X.509/PEM, его нужно сконвертировать в этот формат.
В частности, один из наших тестовых сертификатов был получен в формате PEM (кусок текста в кодировке base64), но без заголовка — в этом случае нужно добавить заголовок, то есть в начало добавить строку -----BEGIN CERTIFICATE-----, а в конец — строку -----END CERTIFICATE-----.
Второй вариант — сертификат может быть в бинарном формате (X509/DER, расширение обычно *.cer) — тогда его надо сконвертировать в PEM командой
/opt/cprocsp/cp-openssl/bin/amd64/openssl x509 -inform der -in file.cer -out file.pem
Получив сертификат в формате PEM, нужно скопировать его в /etc/nginx/ssl-gost.pem и выполнить
/opt/cprocsp/bin/amd64/certmgr -inst -file /etc/nginx/ssl-gost.pem -ask-cont
КриптоПро должно предоставить выбор ключевого контейнера, в списке должен быть 1 элемент (ключ, скопированный на предыдущем шаге). Следует ввести цифру 1 и нажать Enter, таким образом выбрав единственный вариант. Если ключ защищён паролем, будет предложено ввести пароль.
Если ключ защищён паролем (если пароль запрашивался на предыдущем шаге), пароль нужно снять — командой
/opt/cprocsp/bin/amd64/csptest -passwd -container -change -passwd
взять с прошлого шага из списка.
Проверить установку сертификата можно командой /opt/cprocsp/bin/amd64/certmgr -list. Должен быть выведен сертификат со строкой PrivateKey Link: Yes и указан ключевой контейнер — это будет означать, что сертификат установлен корректно.
Такая конфигурация говорит о том, что:
Кроме того, нужно выполнить команды:
ln -s libcrypto.so.1.0.0 /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.10
ln -s libssl.so.1.0.0 /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.10
touch /var/opt/cprocsp/tmp/openssl.log
chown nginx:nginx /var/opt/cprocsp/tmp/openssl.log
После этого выполнить команду
Примечание: так получается сделать по той причине, что и в КриптоПро, и в RHEL 7.2 используется OpenSSL 1.0.x, то есть версии совместимы. При несовместимости версий нужно будет собирать nginx из исходных кодов, следующими командами:
Однако для RHEL/CentOS 7.2 этого можно не делать.
### Настройка SELinux и прав доступа

Инструкция по установке и проверке работы КриптоПро в Nginx

Далее, если на сервере не отключён SELinux (по умолчанию в RHEL 7.2 включён), нужно установить политику SELinux: http://svn.yourcmc.ru/vitalif/trunk/cryptopro-nginx-rhel7.

Читайте также:  Семь потерь в логистике и пути их устранения

Команды для установки:

semodule -i cpro_nginx.pp
restorecon -R /var/opt

После этого — перезапустить nginx:

systemctl restart nginx

Альтернативный путь (упрощённый):

Остановить nginx, если запущен (systemctl stop nginx), установить пакет policycoreutils-python и далее повторять следующие 3 команды до тех пор, пока nginx не стартует:

  1. Команда 1
  2. Команда 2
  3. Команда 3

Проверка работы

Для проверки нужно использовать openssl s_client на сервере.

Для проверки работы RSA:

/usr/bin/openssl s_client -connect localhost:443

Для проверки работы ГОСТ:

/opt/cprocsp/cp-openssl/bin/amd64/openssl s_client -connect localhost:443

Если обе проверки успешны — соединение из клиентского браузера также будет работать.

Решение проблем

В случае возникновения проблем с проверкой, следует выполнить следующие действия:

  • Проверить наличие строки ssl_certificate и ssl_certificate_key с RSA-сертификатом и ключом в конфигурации nginx (/etc/nginx/nginx.conf, /etc/nginx/conf.d/*.conf).
  • Проверить права на файл /var/opt/cprocsp/tmp/openssl.log – владельцем файла должен быть пользователь nginx, а права должны быть 644.

Лицензия КриптоПро

  1. Проверить актуальность лицензии КриптоПро:
    /opt/cprocsp/sbin/amd64/cpconfig -license -view
  2. Установить лицензию:
    /opt/cprocsp/sbin/amd64/cpconfig -license -set

Возможные ошибки

При запуске или перезапуске nginx могут появиться сообщения, но они не критичны.

Дополнительная информация

В журнале ошибок nginx (/var/log/nginx/error.log) возможны сообщения, которые не влияют на работу.

При выполнении s_client в строке Verify return code, в зависимости от сертификата, допустимы различные сообщения.

Помните, что правильная установка и настройка КриптоПро в Nginx обеспечит безопасное и шифрованное подключение.

— эти ошибки некритичные, означают лишь то, что на сервере не установлены корневые сертификаты, которыми подписаны сертификаты TLS. Но для работы сервера установка корневых сертификатов необязательна.

Также под Windows есть поддержка экспорта сертификата и ключей в формат *.pfx. Но такие ключи потом невозможно импортировать в Linux-версию КриптоПро.

КриптоПро CSP

КриптоПро CSP — криптопровайдер, который обеспечивает работу электронной подписи на компьютере.

Назначение КриптоПро CSP — формирование и проверка электронной подписи, обеспечение конфиденциальности информации посредством ее шифрования и имитозащиты, обеспечение безопасности соединений по протоколам TLS и IPsec.

Виды лицензий КриптоПро CSP

Для работы электронной подписи необходимо наличие не менее одной из перечисленных лицензий.

Как узнать, какая лицензия КриптоПро CSP установлена на компьютере?

Виды лицензий криптопро csp

Лицензия КриптоПро CSP встроенная в сертификат электронной подписи

Данная лицензия прописывается в состав сертификата электронной подписи. Ввода серийного номера не требуется, КриптоПро автоматически работает с этим видом лицензий. Срок действия лицензии равен сроку действия сертификата.

Встроенная лицензия — самая удобная в использовании. Нужно только установить необходимые программы, и рабочее место готово!

Плюсы

Оформить встроенную лицензию можно только вместе с оформлением электронной подписи (сертификата электронной подписи)! При отправке заявки на электронную подпись на втором шаге выберите Лицензия встроенная в сертификат ЭП.

Если по каким-либо причинам вы получили сертификат без встроенной лицензии, то добавить её без перевыпуска невозможно. В этом случае необходимо получить лицензию КриптоПро CSP на рабочее место.

Лицензия КриптоПро CSP на рабочее место

Данная лицензия устанавливается на одно рабочее место методом ввода серийного номера из бланка лицензии или из электронной почты. Срок действия лицензии может быть годовым (15 месяцев) или бессрочным.

Получить лицензию КриптоПро CSP на рабочее место можно независимо от оформления электронной подписи. Годовая лицензия с 4-й версии также подходит и к 5-й!

Стоимость лицензий КриптоПро CSP на рабочее место

Для использования КриптоПро CSP в серверной среде необходима соответствующая лицензия. КриптоПро CSP на сервере может использоваться для автоматического подписания документов обезличенным сертификатом, может использоваться пользователями для подписания документов при подключении в терминальном режиме или для других криптографических операций.

Для использования КриптоПро CSP в режиме TLS-сервера для организации HTTPS соединений по российскому ГОСТу необходимо приобретать лицензию на право использования СКЗИ КриптоПро CSP версии 5.0 TLS-сервер.

Для сервера поставляется только бессрочная лицензия.

Перечень операционных систем, классифицирующихся как сервер:

  • Microsoft Windows Server 2003
  • Microsoft Windows Server 2008
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2016

Демонстрационная Лицензия КриптоПро CSP

Данная лицензия устанавливается автоматически при первой установке КриптоПро. Срок действия демо-лицензии 90 дней с момента первой установки. Если программа КриптоПро уже уже была установлена, повторно демо-лицензия устанавливаться не будет!

Сравнение лицензий КриптоПро

Тип лицензии Количество поддерживаемых ЭЦП Количество поддерживаемых рабочих мест (компьютеров) Срок действия

Встроенная в сертификат ЭЦП 1 Неограниченно Равен сроку действия ЭЦП

На рабочее место, Годовая Неограниченно 1 15 месяцев

На рабочее место, Бессрочная Неограниченно 1 Бессрочно